CERTFR-2020-ALE-014
Vulnerability from certfr_alerte

Le 29 juin 2020, Palo Alto Networks a publié un avis de sécurité concernant la vulnérabilité CVE-2020-2021.

Cette vulnérabilité permet de contourner le système d’authentification sur plusieurs de ses produits lorsque le mode d’authentification Security Assertion Markup Language (SAML) est activé.

Dans le protocole SAML, on rencontre trois types d'entités:

  1. l'utilisateur, ou le commettant (principal) ;
  2. le service (service provider) ;
  3. le fournisseur d'identité (identity provider)

Le fournisseur d'identité sert de tiers de confiance entre l'utilisateur et le service et permet de vérifier les identités et les autorisations de chacun.

L'autorisation délivrée par le fournisseur d'identité est communiquée au service sous la forme d'un document XML signé par le fournisseur d'identité.

Ici, la vulnérabilité se trouve dans le mécanisme de vérification de la signature par le service (Palo Alto Networks). Un attaquant non-authentifié peut forger une autorisation que le service acceptera comme ayant été validée par le fournisseur d'identité. Il pourra ainsi s'authentifier de manière frauduleuse et obtenir les mêmes droits que la personne pour laquelle il se fait passer.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Contournement provisoire

Si le mode d'authentification SAML n'est pas activé, la vulnérabilité ne peut être exploitée.

Si l'option de vérification de certificats est activée ("Validate Identity Provider Certificate"), la vulnérabilité ne peut être exploitée mais cela requiert que le fournisseur d'identité dispose d'un certificat signé par une autorité de certification. La vérification de certificats n'est pas une obligation dans le protocole SAML, d'ailleurs tous les fournisseurs ne prévoient pas cette possibilité.

Le CERT-FR recommande donc l'application des mises à jour dans les plus brefs délais.

None
Impacted products
Vendor Product Description
Palo Alto Networks PAN-OS PAN-OS versions 9.0.x antérieures à 9.0.9
Palo Alto Networks PAN-OS PAN-OS versions 8.x antérieures à 8.1.15
Palo Alto Networks PAN-OS PAN-OS versions 9.1.x antérieures à 9.1.3
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "PAN-OS versions 9.0.x ant\u00e9rieures \u00e0 9.0.9",
      "product": {
        "name": "PAN-OS",
        "vendor": {
          "name": "Palo Alto Networks",
          "scada": false
        }
      }
    },
    {
      "description": "PAN-OS versions 8.x ant\u00e9rieures \u00e0 8.1.15",
      "product": {
        "name": "PAN-OS",
        "vendor": {
          "name": "Palo Alto Networks",
          "scada": false
        }
      }
    },
    {
      "description": "PAN-OS versions 9.1.x ant\u00e9rieures \u00e0 9.1.3",
      "product": {
        "name": "PAN-OS",
        "vendor": {
          "name": "Palo Alto Networks",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2020-07-31",
  "content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n\n## Contournement provisoire\n\nSi le mode d\u0027authentification *SAML* n\u0027est pas activ\u00e9, la vuln\u00e9rabilit\u00e9\nne peut \u00eatre exploit\u00e9e.\n\nSi l\u0027option de v\u00e9rification de certificats est activ\u00e9e (\"*Validate\nIdentity Provider Certificate*\"), la vuln\u00e9rabilit\u00e9 ne peut \u00eatre\nexploit\u00e9e mais cela requiert que le fournisseur d\u0027identit\u00e9 dispose d\u0027un\ncertificat sign\u00e9 par une autorit\u00e9 de certification. La v\u00e9rification de\ncertificats n\u0027est pas une obligation dans le protocole *SAML*,\nd\u0027ailleurs tous les fournisseurs ne pr\u00e9voient pas cette possibilit\u00e9.\n\nLe CERT-FR recommande donc l\u0027application des mises \u00e0 jour dans les plus\nbrefs d\u00e9lais.\n",
  "cves": [
    {
      "name": "CVE-2020-2021",
      "url": "https://www.cve.org/CVERecord?id=CVE-2020-2021"
    }
  ],
  "initial_release_date": "2020-07-03T00:00:00",
  "last_revision_date": "2020-07-31T00:00:00",
  "links": [],
  "reference": "CERTFR-2020-ALE-014",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2020-07-03T00:00:00.000000"
    },
    {
      "description": "La cl\u00f4ture d\u0027une alerte ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2020-07-31T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    }
  ],
  "summary": "Le 29 juin 2020, Palo Alto Networks a publi\u00e9 un avis de s\u00e9curit\u00e9\nconcernant la vuln\u00e9rabilit\u00e9\u00a0CVE-2020-2021.\n\nCette vuln\u00e9rabilit\u00e9 permet de contourner le syst\u00e8me d\u2019authentification\nsur plusieurs de ses produits lorsque le mode\nd\u2019authentification\u00a0*Security Assertion Markup Language (SAML)* est\nactiv\u00e9.\n\nDans le protocole *SAML*, on rencontre trois types d\u0027entit\u00e9s:\n\n1.  l\u0027utilisateur, ou le commettant (*principal*) ;\n2.  le service (*service provider*) ;\n3.  le fournisseur d\u0027identit\u00e9 (*identity provider*)\n\nLe fournisseur d\u0027identit\u00e9 sert de tiers de confiance entre l\u0027utilisateur\net le service et permet de v\u00e9rifier les identit\u00e9s et les autorisations\nde chacun.\n\nL\u0027autorisation d\u00e9livr\u00e9e par le fournisseur d\u0027identit\u00e9 est communiqu\u00e9e au\nservice sous la forme d\u0027un document *XML* sign\u00e9 par le fournisseur\nd\u0027identit\u00e9.\n\nIci, la vuln\u00e9rabilit\u00e9 se trouve dans le m\u00e9canisme de v\u00e9rification de la\nsignature par le service (Palo Alto Networks). Un attaquant\nnon-authentifi\u00e9 peut forger une autorisation que le service acceptera\ncomme ayant \u00e9t\u00e9 valid\u00e9e par le fournisseur d\u0027identit\u00e9. Il pourra ainsi\ns\u0027authentifier de mani\u00e8re frauduleuse et obtenir les m\u00eames droits que la\npersonne pour laquelle il se fait passer.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans Palo Alto Networks PAN-OS",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Palo Alto Networks CVE-2020-2021 du 29 juin 2020",
      "url": "https://security.paloaltonetworks.com/CVE-2020-2021"
    },
    {
      "published_at": null,
      "title": "Avis CERT-FR CERTFR-2020-AVI-398 du 29 juin 2020",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-398/"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.